Desidero aggiornare una policy della chiave AWS KMS nel Servizio AWS di gestione delle chiavi (AWS KMS). Ho verificato di disporre delle autorizzazioni di amministratore per le mie identità (utenti, gruppi e ruoli) di AWS Identity and Access Management (IAM). Tuttavia, non riesco a leggere o aggiornare la policy della chiave KMS.
Breve descrizione
I principali IAM devono disporre dell'autorizzazione per l'azione API GetKeyPolicy per leggere una policy della chiave e PutKeyPolicy per aggiornare una policy. Queste autorizzazioni vengono concesse direttamente con la policy della chiave o con una combinazione delle policy della chiave e IAM. Per ulteriori informazioni, consulta AWS Key Management Service.
La policy IAM della chiave AWS KMS predefinita contiene una dichiarazione simile alla seguente:
{ "Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
}
Le entità IAM dell'account AWS 111122223333 possono eseguire qualsiasi azione AWS KMS consentita nella policy allegata. Talvolta, le entità non possono eseguire azioni API come GetKeyPolicy o PutKeyPolicy, anche se le policy allegate includono le autorizzazioni. Per risolvere questo errore, controlla se l'istruzione “Enable IAM User Permissions” è stata modificata.
Soluzione
Controllo delle autorizzazioni delle policy IAM
Assicurati che le entità IAM dispongano dell'autorizzazione per leggere e aggiornare una chiave AWS KMS simile a questa policy IAM:
{ "Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
}
]
}
Uso della cronologia eventi di CloudTrail
- Apri la console AWS CloudTrail, quindi scegli Cronologia degli eventi.
- Scegli l'elenco a discesa Attributi di ricerca, quindi scegli Nome evento.
- Nella finestra di ricerca, inserisci PutKeyPolicy.
- Apri l'evento PutKeyPolicy più recente.
- In Record di eventi, copia la policy e incollala in un editor di testo a scelta.
- Analizza la policy in un formato leggibile.
- Nella policy IAM Sid “Allow access for Key Administrators”, annota gli amministratori di identità IAM simili ai seguenti:
{ "Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Administrator"
]
},
Gli amministratori delle chiavi possono quindi essere utilizzati per riottenere l'accesso alla chiave.
Uso delle query Athena
Se l'evento della cronologia degli eventi di CloudTrail è passato da 90 giorni, è possibile utilizzare Amazon Athena per cercare nei log di CloudTrail. Per istruzioni, consulta Use the CloudTrail console to create an Athena table for CloudTrail logs.
Per ulteriori informazioni, consulta Come faccio a creare automaticamente tabelle in Amazon Athena per effettuare ricerche nei log di AWS CloudTrail?
Informazioni correlate
Secure access keys
AWS KMS concepts